1 Marie-pascale Delamare

PARTAGE DE CONNEXION

I LA MISSION

Administrateur réseau dans une petite entreprise, vous devez, suite à la mise en place d’une ligne ADSL, offrir l’accès à l’internet à tous les utilisateurs de votre réseau.

En administrateur prévoyant, vous savez que dans un second temps, vous devrez ouvrir une DMZ, pour publier sur internet le catalogue produit, que le service développement a déjà réalisé. Vous avez

donc acheté une adresse IP fixe. De plus, soucieux de ne pas décourager les internautes par des temps

de réponse prohibitifs, vous voudriez dès à présent économiser la bande passante vers l’internet.

Après quelques recherches sur internet, vous comprenez que pour partager une ligne ADSL, vous pouvez soit utiliser un routeur disposant, compte tenu du plan d’adressage de votre réseau et de l’achat

d’une seule IP fixe, d’une fonction NAT (network adress translation), soit recourir au service d’une

passerelle de niveau applicatif, un proxy.

Soucieux de bien faire votre travail, vous décidez de tester différentes configurations réseaux. À partir

de votre réseau réel, vous avez élaboré deux maquettes de tests. Votre travail consiste maintenant à

tester ces deux configurations.

Au final, vous devrez pouvoir élaborer une solution pour répondre à la problématique de votre entreprise et la défendre auprès de vos supérieurs.

II MATÉRIELS ET LOGICIELS NÉCESSAIRES

Un micro-ordinateur Windows XP réel, deux serveurs Win2003 en virtuel. Le logiciel WinrouteLite et le logiciel ISA (à prendre sur le poste professeur de la salle 4 \\172.16.4.150\NatProxy). Les logiciels

clients suivants : Firefox ou Internet Explorer, Thunderbird ou Outlook. Le logiciel d’analyse Whireshark. Une connexion Internet via le routeur de la salle 3. Les adresses IP des DNS de notre

fournisseur d’accès à internet. Une boîte aux lettres chez le FAI FREE pour chaque groupe d ‘élèves

(btsinf.ig201@free.fr ……. bstinf.ig224@free.fr mot de passe carcouet).

III PLATEFORME DE TESTS N°1 :

2 Marie-pascale Delamare

III.1 CONNEXION DU SERVEUR 2003 À L’INTERNET

Lancez votre machine virtuelle Win2003 avec deux cartes réseau. N’oubliez pas de changer le nom

de cette machine.

Vérifiez que votre machine virtuelle sort effectivement sur internet. Installez le logiciel Whireshark.

III.2 MISE EN PLACE DU ROUTEUR NAT WINROUTE

Voici donc la partie pratique pour connecter tout un réseau local à Internet en utilisant un routeur Nat (dans notre cas Winroute). L'installation de ce logiciel est faite sur l’ordinateur virtuel Win2003.

III.3 PRÉPARATIFS

Avant d'installer Winroute, je suppose que vous êtes en ordre sur le paramétrage de votre réseau, et que votre client XP ne peut donc pas sortir sur internet.

III.4 INSTALLATION DE WINROUTE LITE

L'installation de Winroute Lite ne pose pas de problème particulier.

III.5 PARAMÉTRAGE DE WINROUTE LITE

Vous devez préciser quel est le moyen utilisé pour accéder à l’Internet

Nous n’utiliserons ni le serveur DHCP, ni le

mappage de port (nécessaire seulement si l’on possède un serveur WEB accessible depuis

l’Internet), ni les options de sécurité. Par contre, à

vous de paramétrer correctement votre proxy DNS.

Paramétrage du proxy DNS

______________________________________________

Enfin vous activez les différents journaux du logiciel.

3 Marie-pascale Delamare

III.6 PARAMÉTRAGE DES CLIENTS

Winroute est un routeur vous devez donc savoir paramétrer votre client, sinon consultez l’aide du logiciel Winroute. Vérifiez que votre client parvient à sortir sur l’Internet (www, FTP et courrier).

Pour tester www interrogez une page quelconque. Pour tester ftp, vous pouvez interroger le site

ftp.3com.com via votre navigateur préféré, en utilisateur anonyme. Pour tester le courrier, utilisez une

des boîtes aux lettres fournies en tête de ce TP et un logiciel client. N’oubliez pas cependant que notre fournisseur d’accès est wanadoo.

Cela fonctionne-t-il ? _____________ _________________________________________________________

Pouvez-vous limiter les services offerts _________________________________________________

Pouvez-vous limiter les droits par utilisateurs _____________________________________________

Pouvez-vous filtrer les adresses URL ____________________________________________________

Utilisez Whireshark pour répondre à cette question. Quelle-est l’adresse émettrice contenue dans les

paquets sortant vers internet ? _________________________________________________________

III.7 ÉTUDE DES FICHIERS JOURNAUX

Observez les journaux de Winroute. Quels protocoles voyez-vous passer dans le fichier log ? _______

__________________________________________________________________________________

A quel niveau intervient chacun de ces protocoles ? ________________________________________

Observons l’extrait suivant d’un fichier log :

On suppose dans ces exemples que le client a pour adresse 192.168.0.2, que le routeur NAT ou

passerelle de ce client, dispose de l’adresse 192.168.0.1 sur le lan et 192.168.1.2 vers internet. Ce

routeur NAT utilise lui-même les services d’un routeur d’adresse 192.168.1.1 pour atteindre

internet.

Le client d’adresse 192.168.0.2 envoie une requête DNS à sa passerelle (192.168.0.1).

[16/Jan/2003 16:51:22] UDP: packet 351, from D-Link DFE-530TX PCI Fast Ethernet Adapter, length 79, 192.168.0.2:1032 -> 192.168.0.1:53

Le routeur NAT (192.168.0.1 et 192.168.1.2) envoie une requête ARP pour résoudre l’adresse

MAC de sa passerelle (192.168.1.1)

[16/Jan/2003 16:51:22] ARP: packet 352, to Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 42,

request, sender: 192.168.1.2 target: 192.168.1.1

[16/Jan/2003 16:51:22] ARP: packet 353, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 42,

request, sender: 192.168.1.2 target: 192.168.1.1

[16/Jan/2003 16:51:22] ARP: packet 354, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 60,

reply, sender: 192.168.1.1 target: 192.168.1.2

L’adresse MAC de la passerelle résolue, le routeur NAT prépare le paquet à envoyer sur

l’Internet en changeant l’adresse de l’émetteur et le port du client.

[16/Jan/2003 16:51:22] DNS: query 192.168.1.2:45007 -> 193.252.19.3:53 for www.jazzrecords.com

[16/Jan/2003 16:51:22] UDP: packet 355, to Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 79,

192.168.1.2:45007 -> 193.252.19.3:53

Le serveur DNS répond au routeur NAT.

[16/Jan/2003 16:51:22] UDP: packet 356, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 197,

4 Marie-pascale Delamare

193.252.19.3:53 -> 192.168.1.2:45007

Le routeur NAT redirige le paquet vers son client en inscrivant la bonne adresse de destinataire

et le bon numéro de port.

[16/Jan/2003 16:51:22] UDP: packet 357, to D-Link DFE-530TX PCI Fast Ethernet Adapter, length 197,

192.168.0.1:53 -> 192.168.0.2:1032

Observons un nouvel extrait du fichier log :

Le client d’adresse 192.168.0.2 fait une requête http sur l’adresse 212.227.103.24. Les premiers

échanges consistent à établir une connexion.

[16/Jan/2003 16:51:22] TCP: packet 358, from D-Link DFE-530TX PCI Fast Ethernet Adapter, length 62,

192.168.0.2:1033 -> 212.227.103.24:80, flags: SYN , seq:1639595 ack:0

Le routeur NAT reprend cette requête à son compte et essaye d’établir une connexion avec le

serveur WEB visé.

[16/Jan/2003 16:51:22] TCP: packet 359, to Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 62,

192.168.1.2:45008 -> 212.227.103.24:80, flags: SYN , seq:1639595 ack:0

Le serveur WEB répond à la demande de connexion vers le routeur NAT.

[16/Jan/2003 16:51:22] TCP: packet 360, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 60,

212.227.103.24:80 -> 192.168.1.2:45008, flags: SYN ACK , seq:1416805286 ack:1639596

Le routeur NAT modifie le paquet pour le rediriger vers son client.

[16/Jan/2003 16:51:22] TCP: packet 364, to D-Link DFE-530TX PCI Fast Ethernet Adapter, length 60,

212.227.103.24:80 -> 192.168.0.2:1033, flags: SYN ACK , seq:1416805286 ack:1639596

Le client par l’intermédiaire du routeur NAT répond pour confirmer cette connexion.

[16/Jan/2003 16:51:22] TCP: packet 365, from D-Link DFE-530TX PCI Fast Ethernet Adapter, length 60,

192.168.0.2:1033 -> 212.227.103.24:80, flags: ACK , seq:1639596 ack:1416805287

[16/Jan/2003 16:51:22] TCP: packet 366, to Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 60,

192.168.1.2:45008 -> 212.227.103.24:80, flags: ACK , seq:1639596 ack:1416805287

La connexion est établie et les échanges peuvent commencer. Le client transmet sa demande via

le NAT.

[16/Jan/2003 16:51:22] tmp: 192.168.0.2 -> www.jazzrecords.com GET /tutu/ HTTP/1.1

[16/Jan/2003 16:51:22] TCP: packet 367, from D-Link DFE-530TX PCI Fast Ethernet Adapter, length 478,

192.168.0.2:1033 -> 212.227.103.24:80, flags: ACK , seq:1639596 ack:1416805287

[16/Jan/2003 16:51:22] TCP: packet 368, to Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 478,

192.168.1.2:45008 -> 212.227.103.24:80, flags: ACK , seq:1639596 ack:1416805287

..

Le serveur WEB via le routeur NAT transmet sa réponse, qui peut être répartie dans plusieurs

paquets.

[16/Jan/2003 16:51:22] TCP: packet 369, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 60,

212.227.103.24:80 -> 192.168.1.2:45008, flags: ACK , seq:1416805287 ack:1640020

[16/Jan/2003 16:51:22] TCP: packet 370, to D-Link DFE-530TX PCI Fast Ethernet Adapter, length 60,

212.227.103.24:80 -> 192.168.0.2:1033, flags: ACK , seq:1416805287 ack:1640020

[16/Jan/2003 16:51:23] TCP: packet 371, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 1454, 212.227.103.24:80 -> 192.168.1.2:45008, flags: ACK , seq:1416805287 ack:1640020

[16/Jan/2003 16:51:23] TCP: packet 372, to D-Link DFE-530TX PCI Fast Ethernet Adapter, length 1454,

5 Marie-pascale Delamare

212.227.103.24:80 -> 192.168.0.2:1033, flags: ACK , seq:1416805287 ack:1640020

[16/Jan/2003 16:51:23] TCP: packet 373, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 1454,

212.227.103.24:80 -> 192.168.1.2:45008, flags: ACK , seq:1416806687 ack:1640020

[16/Jan/2003 16:51:23] TCP: packet 374, to D-Link DFE-530TX PCI Fast Ethernet Adapter, length 1454,

212.227.103.24:80 -> 192.168.0.2:1033, flags: ACK , seq:1416806687 ack:1640020

Il nous manque ici la fermeture de la connexion.

III.8 POUR ALLER PLUS LOIN

Vous pouvez réaliser exactement la même chose en utilisant les fonctions standards d’un serveur

Windows 2003. Il vous suffit d’activer le routage et de paramétrer correctement le routeur obtenu en activant la fonction NAT sur la carte externe.

IV PLATEFORME DE TESTS N°2

IV.1 CONNEXION DE LA MACHINE PROXY À INTERNET

Voici donc la partie pratique pour mettre en œuvre la connexion de tout un réseau local à Internet en utilisant un serveur proxy (dans notre cas ISA que vous trouverez sur mon poste professeur à l’adresse

\\172.16.4.150\NatProxy). L'installation du logiciel proxy est faite sur une deuxième machine virtuelle

Windows 2003, possédant une carte réseau. Ne changez pas le nom de cette deuxième machine.

Avant d'installer ISA, je suppose que vous êtes en ordre sur le paramétrage de votre réseau. Active

Directory est déjà installé pour gérer le domaine DOM.priv sur la machine qui va héberger le proxy.

Votre machine proxy sort sur internet, votre client ne sort pas sur internet car vous ne lui mettez pas de

passerelle. Vous avez installé Whireshark sur la machine qui va héberger le proxy.

6 Marie-pascale Delamare

IV.2 INSTALLATION DU PROXY ISA SERVEUR

L’installation ne pose pas de problème particulier, mais vous devez choisir « Installer les

services ISA server et un server de stockage des configurations», puis « Créer

un nouvel ISA server entreprise ». Précisez ensuite que l’administrateur est celui du domaine

(Administrateur et son mot de passe). Choisissez ensuite une plage d’adresse privée en

192.168.0.0. Ensuite vous autorisez la connexion des clients de pare-feu non

cryptés.

NB : Si besoin est prenez le logiciel 7zip.

IV.3 CONFIGURATION DE ISA SERVER

Vous allez maintenant configurer votre proxy Isa. Dans le nœud « Groupes » puis sous le

nom de votre serveur développez

configurations et choisissez « Réseaux » et dans les modèles proposés, choisissez « Carte

réseau unique » Ne changez pas la plage

d’adresses proposée. Choisissez ensuite la stratégie de pare-feu proposée. Appliquez vos

modifications.

IV.4 CONFIGURATION DU SERVICE PROXY

Vous allez maintenant configurer les

paramètres de votre proxy. Positionnez-vous sur la ligne représentant votre réseau interne et

choisissez propriétés. Dans l’onglet « Proxy

web », cochez « Activez les connexions au client proxy web pour ce réseau ». Vous allez

obliger tous les utilisateurs à s’authentifier

pour pouvoir accéder à internet. Toujours dans l’onglet « Proxy web », cliquez sur

« Authentification », choisissez

l’authentification « de base », puis « Exiger

que tous les utilisateurs s’authentifient » et enfin précisez votre domaine.

7 Marie-pascale Delamare

IV.5 CONFIGURATION DU CACHE

Sur la ligne « Cache », choisissez « Définir les lecteurs de cache » et donnez une taille de 100 Mo par exemple. Définissez maintenant vos règles de cache (en fait vous gardez celle(s) proposée(s) par

défaut). Choisissez « Propriétés », puis vérifiez ensuite que le cache HTTP et le cache FTP sont bien

activés.

IV.6 CONFIGURATION DES RÈGLES DE PARE-FEU

Vous devez maintenant configurer une règle dans le pare-feu qui autorisera les requêtes des

clients du proxy à accéder aux protocoles suivants : HTTP, HTTPS et FTP. Pour cela

allez sur « Stratégies de pare-feu » puis

choisissez « Créer une règle d’accès »,

nommez votre règle « Réseau interne vers internet », choisissez « Autoriser »,. Dans la

partie protocoles, sélectionnez « HTTP,

HTTPS, FTP ». Cette règle s’applique au trafic émanant du réseau interne et de l’hôte local,

destiné au réseau interne et à l’hôte local.

Enfin cette règle s’applique à « Tous les utilisateurs authentifiés » et non pas à « Tous

les utilisateurs ».

8 Marie-pascale Delamare

Quels sont les protocoles que vous avez autorisés sur Internet ? ______________________________

À quel niveau du modèle OSI interviennent ces protocoles ? _________________________________

ISA server est donc un ou une (concentrateur, commutateur, routeur ou passerelle) ______________

IV.7 CONFIGURATION DES APPLICATIONS SUR LES CLIENTS

IV.7.1 CONFIGURATION DU NAVIGATEUR INTERNET EXPLORER

Dans le client XP, veuillez lancer Internet Explorer et faîtes « Outils » puis « Options Internet ». Dans l’onglet « Connexion », configurez votre serveur proxy. Attention celui-ci tourne sur le port 8080.

IV.7.2 UTILISATION DU NAVIGATEUR INTERNET EXPLORER

Essayez depuis votre client d’accéder à la page www.free.fr. Cela fonctionne-t-il ? __________________________________________________________________________________

IV.7.3 PARAMÉTRAGE DES AUTRES CLIENTS

Vérifiez si le ftp et le courrier parviennent à sortir sur l’Internet. Pour tester ftp, vous pouvez

interroger le site ftp.3com.com en utilisateur anonyme, via votre navigateur préféré.

Pour tester le courrier, utilisez une des boîtes aux lettres fournies en tête de ce TP et un logiciel client.

N’oubliez pas cependant que notre fournisseur d’accès est Wanadoo.

Cela fonctionne-t-il ? _______________________________________________________________________

9 Marie-pascale Delamare

Dans cette configuration ISA Server ne laisse passer que les protocoles HTTP, FTP et HTTPS. La

messagerie ne fonctionne donc pas.

Pouvez-vous limiter les services offerts (pour répondre à cette question, vous pouvez modifier votre

règle de pare-feu)____________________________________________________________________

__________________________________________________________________________________

Pouvez-vous limiter les droits par utilisateurs (pour répondre à cette question, vous pouvez créer deux

utilisateurs et des groupes d’utilisateurs dans Active Directory, puis faire connaître ces groupes ou ces

utilisateurs au proxy ISA) _____________________________________________________________

__________________________________________________________________________________

Passez le cache d’Internet Explorer à zéro en faisant « Outils » puis « Options Internet ». Dans l’onglet

« Général » puis « Paramètres » et « Cache », passez le cache à zéro et nettoyez-le maintenant.

Interrogez notre site web (que vous n’avez encore jamais interrogé http://82.127.58.57) et observez, en utilisant Whireshark, les paquets échangés.

Premier échange du ____________________________ vers _______________________

IP émettrice :___________________ Port émetteur : ___________________________

IP destinataire :_________________ Port destinataire :__________________________

Deuxième échange du __________________________ vers _____________________

IP émettrice : __________________ Port émetteur : ____________________________

IP destinataire : ________________ Port destinataire :__________________________

Troisième échange du __________________________ vers ______________________

IP émettrice : __________________ Port émetteur : _____________________________

IP destinataire : ________________ Port destinataire :____________________________

Quatrième échange du __________________________ vers ______________________

IP émettrice : _________________ Port émetteur : ___________________________

IP destinataire : ________________Port destinataire :_________________________

La copie d’écran ci-dessous vous montre ce que vous devriez obtenir. Ici le proxy est à l’adresse

192.168.0.10 et le client à l’adresse 192.168.0.1.

10 Marie-pascale Delamare

Interrogez maintenant la même page web et observez les paquets échangés.

Premier échange du ____________________________ vers _______________________

IP émettrice : ___________________ Port émetteur : ________________________________

IP destinataire : __________________Port destinataire :______________________________

Deuxième échange du __________________________ vers ______________________

IP émettrice : ___________________ Port émetteur : ________________________________

IP destinataire : ______ ___________Port destinataire :_______________________________

Avez-vous économisé votre bande passante ? ____________________________________________

Pourquoi ? _______________________________________________________________________

La copie d’écran ci-dessous vous montre ce que vous devriez obtenir. Ici le proxy est à l’adresse

192.168.0.10 et le client à l’adresse 192.168.0.1.

11 Marie-pascale Delamare

IV.8 ÉTUDE DES RAPPORTS GÉNÉRÉS

Dans la partie surveillance et rapports, générez un nouveau rapport. Même si celui-ci est vide, compte tenu des contraintes que nous impose ISA server sur les dates, vous aurez une idée de ce qu’un

administrateur réseau peut surveiller ……

IV.9 POUR ALLER PLUS LOIN

Il existe bien d’autres proxies, WINGATE, SQUID etc. Il faut savoir que l’on peut aussi installer un serveur proxy sur une machine possédant deux cartes réseau. Cette configuration est tout à fait

réalisable avec ISA Server, Wingate etc. L’installation d’un proxy avec une seule carte réseau ne se justifie que si le réseau local est protégé par un pare-feu.

Il existe une faille assez importante dans l’architecture testée dans ce TP. En effet rien n’empêche un

utilisateur de contourner le proxy (à vous de trouver comment). Pour rendre cette architecture sure,

nous verrons qu’intégrer un pare-feu dans notre plateforme de tests, nous permettra de mieux sécuriser notre réseau local et de gérer les accès depuis l’extérieur vers une DMZ. Ce sera l’objet de notre

prochain TP.